信管1班 司龙华 3197 信息安全技术作业.docx
《信管1班 司龙华 3197 信息安全技术作业.docx》由会员分享,可在线阅读,更多相关《信管1班 司龙华 3197 信息安全技术作业.docx(10页珍藏版)》请在冰豆网上搜索。
信管1班司龙华3197信息安全技术作业
信
息
安
全
班级:
信管1班
姓名:
司龙华
学号:
20133197
目录
1网络中心简介1
1.1现代教育技术中心1
1.2网络中心(NetworkCenter)1
2硬件设施介绍2
2.1山石网科SG-60002
2.2安恒WAF1000AG3
2.3山石网科X71804
2.4JuniperMX9605
2.5JuniperEX45505
3网络拓扑图7
3.1校园网络拓扑简图7
4二层网络与三层网络7
4.1二层网络7
5网络安全问题11
5.1计算机病毒11
5.2口令破解12
5.3拒绝服务攻击12
5.4系统本身存在的漏洞13
5.5网络黑客入侵13
6网络安全防御14
6.1流量过滤14
6.2防火墙14
6.3入侵检测14
6.4访问控制15
6.5行为管理15
1网络中心简介
1.1现代教育技术中心
现代教育技术中心(信息化建设办公室)是从事现代教育技术研究、开发、培训及提供网络服务的教学辅助单位,同时又是我校信息化建设、管理的职能部门。
中心于2000年成立,现有教职工15人,在读博士1人,在读研究生1人,本科生12人,分别负责我校的网络建设与管理,教育技术培训、多媒体教室建设和管理、全校大型活动的摄影、摄像,同时承担学校的信息化建设任务。
为适应学校教育现代化和信息化发展的需要,建设了符合21世纪高等教育发展规律的现代化基础设施,中心本着“网络建设是基础,资源建设是核心,教学应用是目的”的原则,积极为我校的现代化教学和数字化校园建设服务。
1.2网络中心(NetworkCenter)
校园网一期工程于2001年10月份建成并投入运行。
由于网络需求的不断扩大,原有的设计能力远远不能满足日益增长的教学、科研和管理的需要,2006年6月,对校园网进行升级、改造,并在龙湖东校区的图书馆新建网络中心核心机房,同时购买核心交换机Cisco7609两台,Cisco6509一台,千兆企业级防火墙两台,IBM560Q小型机1台、IBMDS4800光纤存储一台、H3CIP存储一台、各类服务器20多台。
实现了东、西校区双核心交换机万兆高速互连、千兆到楼、百兆到桌面。
目前,已布设信息点25400个;已开通建筑物80栋,三个校区共铺设光缆63.5公里;已注册用户总数9480户;提供了多种网络服务:
目前校园网对外出口有三条:
一条100兆光纤与安徽省教育科研网互联,另外两条100兆光纤连接到Internet,使我校的对外出口带宽达到300兆,实现了与中国教育科研网、Internet的高速互联。
满足了本科教育的网络规模和覆盖范围。
2硬件设施介绍
2.1山石网科SG-6000
设备类型:
下一代防火墙网络吞吐量:
600Mbps并发连接数:
标配:
100000;最大:
200000网络端口:
5个千兆电口
入侵检测:
基于状态、精准的高性能攻击检测和防御;实时攻击源阻断、IP屏蔽、攻击事件记录;支持针对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBIOS、TFTP等多种协议和应用的攻击检测和防御
VPN支持:
支持各种标准IPSecVPN协议及部署方式;创新的PnPVPN(即插即用VPN);支持SSLVPN(可选USB-key);支持L2TPVPN
其他性能:
每秒新建连接:
4000;防病毒吞吐量:
50Mbps;IPS吞吐量:
100Mbps
管理接口:
一个配置口,一个USB2.0口
电源:
100-240VAC,50/60Hz,单电源15W
2.2安恒WAF1000AG
CPU:
IntelCore2DuoE2160;芯片组:
IntelQ965;内存:
4G(2×2GDDR2)
网口数量:
4;网路类型:
4×10/100/1000自适应电口;扩展模块:
4个;千兆RJ45网口,2组Bypass;存储:
500G(4×SATA2、1×IDE、1×CF);
并发连接数:
10000;吞吐量(Mbps):
100
主要功能:
安全操作系统、WEB入侵防护、HTTPS支持、WEB应用加速;接口及扩展插槽:
1×管理口、1×HA口、4×工作口
2.3山石网科X7180
最大并发连接:
1.2亿;每秒新建连接:
240万;支持虚拟防火墙:
1000个;最大功率:
1300W
机箱设计仅有5U的特点,实现了高性能、多安全功能和绿色节能并举;在运维管理方面,HillstoneX7180提供了丰富的报表功能。
包括日志、报表、统计以及未来单独的运维管理平台等等
2.4JuniperMX960
路由器
交换和路由容量:
960千兆位每秒(Gbps)支持高密度接口和大容量的交换吞吐量用于多点连接的VPLS业务;内置VPLS业务功能;
用于点到点业务的虚拟专线(VLL);支持点到点连接;全面支持整个以太网中的MPLSVPN
2.5JuniperEX4550
交换机类型园区汇聚交换机
传输速率256Gbps(集群交换);MAC地址表32000K
VLAN功能VLAN数量4,096
特性:
经过实践检验的瞻博网络技术:
运营商级架构配合JunosOS,
EX系列交换机融合安全风险管理与统一接入控制,能够动态提供网络保护、访客访问和基于身份的QoS。
超高1GbE、10GbE、40GbE和100GbE端口密度提供线速性能,显著简化网络拓扑结构和操作。
每个交换机端口八个QoS队列可确保正确确定语音、视频和多数据信息流级别的优先级,并且仍可融合其他网络,如构建自动化和视频安全系统。
其他功能:
吞吐率714Mpps
40GBASEQSFP+端口密度不适用
100GBASECFP端口密度不适用
永续性2个内部负载分担的交流和直流电源(可选);冗余的变速风扇
操作系统Junos信息流监控sFlow
VLAN数量4,096;ARP条目8,000。
3网络拓扑图
3.1校园网络拓扑简图
4二层网络与三层网络
4.1二层网络
二层交换机就是传统意义上的交换,使用mac地址作为转发依据,建立起mac到端口的映射,一般的二层交换机是没有三层功能的,也就是不能配置静态路由。
4.1.1二层结构优点:
1、最大的优点是简单,能够比较快的实施(因为不需要建设省网,而城域网相对建设周期短,复杂性小),这对于新运营商或在新的地区快速开展业务有很现实的意义。
2、便于开展全国性业务,如全国性MPLSVPN,大客户以合法AS接入(原来的省网多采用保留AS,大客户以合法AS接入时出现麻烦)。
3、能够在以后更好的在服务质量方面进行有效控制,IP网在Qos控制方面存在先天不足,而多层的网络结构更加增加了全程全网的Qos实施的难度。
4、用户与内容最近,提高用户访问水平和提高网络的效率。
4.1.2二层结构缺点:
1、骨干网的压力增加,需要增加骨干网在省内的POP点,骨干网规模更加扩大,带来相应的扩展性问题。
2、对开展省内跨地市的业务(如MPLSVPN),需要骨干网和省网设备一起配合实施,带来了更多的管理、协调工作。
4.2三层网络
三层网络架构是采用层次化架构的三层网络。
三层网络架构采用层次化模型设计,即将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。
三层网络架构设计的网络有三个层次:
核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层(将工作站接入网络)。
核心层:
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。
核心层应该具有如下几个特性:
可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。
在核心层中,应该采用高带宽的千兆以上交换机。
因为核心层是网络的枢纽中心,重要性突出。
核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。
汇聚层:
汇聚层是网络接入层和核心层的“中介”,就是在工作站接入核心层前先做汇聚,以减轻核心层设备的负荷。
汇聚层具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。
在汇聚层中,应该选用支持三层交换技术和VLAN的交换机,以达到网络隔离和分段的目的。
接入层:
接入层向本地网段提供工作站接入。
在接入层中,减少同一网段的工作站数量,能够向工作组提供高速带宽。
接入层可以选择不支持VLAN和三层交换技术的普通交换机。
4.2.1三层网络优点
最直观的优点当然是端口问题,如果接入层交换机非常多,没有办法把所有接入交换机全部链接到核心上。
因为核心端口没有那么多。
大型局域网动辄几百台接入,核心交换机上不可能有几百个端口。
再就是管理方面,汇聚交换机将大的局域网分割,因为局域网内部不同的部分功能不同,分块的来管理应用不用的策略。
一般来说加入汇聚层,是由于网络太大的缘故,在一个大型网络里,如果只采用两层结构,接入层、核心层,那么核心层,既要做交换,又要做策略、流控这样核心层交换机的压力会很大,整个网络性能就得不到保障,如果这个时候加入汇聚层,首先一个可以将大网络化成小网络,相对方便管理,就算其中一台汇聚出现问题也只会影响局部网络不会影响到整体,还有,把所有策略流控的东西配置在汇聚上,核心只做交换,这样大大缓解核心交换机的压力,整体网络性能得到保证
4.2.2三层网络缺点:
1、全网多级投资计划建设,建设模式不尽相同,缺乏统一规划和管理,难以达到全网最优化设计。
2、用户与内容距离远,北方网络基本上是三级网络结构,网络结构层次和网络管理层次增多,导致IP不必要的路由跳数,使得网络的性能指标下降。
3、加大了以后扩容成本和维护成本。
4、网络是按行政区划进行网络设计和路由组织,不能根据用户的实际需求灵活的调整和调度网络资源,同时使我们业务开展成本和业务维护成本增加。
尤其是给全网性增值业务的开放带来困难。
5、在骨干网节点存在骨干网设备和省网设备的背靠背连接,投资有较大浪费。
5网络安全问题
5.1计算机病毒
计算机病毒是用于破坏网络系统最常见的手段。
一旦病毒入侵计算机系统,那么系统就无法正常运作,严重的还会遗失重要资料,甚至损坏计算机零件。
所谓计算机病毒,就是用一些代码和程序去破坏计算机的正常程序。
他们具有极强的破坏性,在互联网上这些病毒能以几何级数的惊人速度进行自我繁殖,能够导致很多的计算机系统在短时间内瘫痪,损失惨重。
互联网上传播的计算机病毒不计其数,其传播速度十分惊人,因此也难以根治。
这样,木马病毒就会无处不在,会窃取电脑中的数据,信息资料,以至于对计算机系统有极大的威胁。
并非每个系统都是无懈可击的,都存在或大或小的漏洞。
从实际情况来看,难以对系统漏洞进行有效修补,而它们往往危害面极广不仅对系统本身以及相关软件会产生较大影响,而且对路由器、网络客服软件等都有危害。
5.2口令破解
密码破译是指在不知道密钥的情况下,恢复出密文中隐藏的明文信息的过程。
密码破译也是对密码体制的攻击。
成功的密码破译能恢复出明文或密钥,也能够发现密码体制的弱点。
密码破译技术是指实施密码破译过程中常用的各种技术、手段、措施、方法和工具。
在计算机网络传输过程中,除了合法的接收者外,还有非授权者,非授权者通过各种办法在信息传输过程中截取信息(如搭线窃听、电磁窃听、声音窃听等来取机密信息),因此机密信息在网络中传输通常要进行加密,但有时还是能够被非授权用户截获,通过密码破译获得明文甚至是密钥,使机密泄露。
5.3拒绝服务攻击
拒绝服务攻击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。
其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。
拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。
攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:
一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
5.4系统本身存在的漏洞
在进行编程的时候,工作人员无法做到完美无缺。
操作系统或多或少会存在一些漏洞和缺陷。
一旦漏洞被居心叵测的人利用,那么就会给网络安全造成极大威胁。
然而,黑客最常做的事就是发现他人系统的漏洞和缺陷。
系统里的漏洞和缺陷也往往成为网络安全中最致命问题。
从近期我国发生的安全攻击事件来看,有很多是因为内部人员的疏忽大意以及网络系统的漏洞造成的。
所以,在使用网络的过程中,不管是个人还是单位,都要防患信息安全事故,对内部安全体系要进一步地完善,专门的系统管理人员也就非常有必要强化自己的安全意识,不断提升自己的专业技术水平。
5.5网络黑客入侵
在计算机领域,有这样一类人,他们以优异的编写程序以及调式程序能力来强制性地破解他人的计算机安全密码,从而入侵他人的计算机系统,这样的群体就被称为“黑客”。
黑客要入侵他人的计算机系统,首先要跨过网络防火墙,获得系统访问权,进而破坏系统程序,干扰系统的正常运作。
黑客入侵的途径有两种,一种是破坏性入侵,另一种是非破坏性入侵。
非破坏性入侵并不会进入他人的系统,但会损坏他人的运作程序,所以无法窃取到系统内的相关资料。
相反的,破坏性入侵不仅会入侵他人系统,
同时还能窃取到他人系统里的资料,并能篡改这些资料。
6网络安全防御
6.1流量过滤
攻击检测系统检测网络流量中隐藏的非法攻击流量,发现攻击后及时通知并激活防护设备进行流量的清洗;攻击缓解系统通过专业的流量净化产品,将可疑流量从原始网络路径中重定向到净化产品上进行恶意流量的识别和剥离,还原出的合法流量回注到原网络中转发给目标系统,其它合法流量的转发路径不受影响;监控管理系统对流量清洗系统的设备进行集中管理配置、展现实时流量、告警事件、状态信息监控、及时输出流量分析报告和攻击防护报告等报表。
6.2防火墙
防火墙(Firewall),也称防护墙,是由CheckPoint创立者GilShwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。
它是一种位于内部网络与外部网络之间的网络安全系统。
一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
6.3入侵检测
入侵检测(IntrusionDetection),顾名思义,就是对入侵行为的发觉。
他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
6.4访问控制
访问控制是信息安全保障机制的重要内容,是实现数据保密性和完整性机制的主要手段之一。
访问控制是为了限制访问主体(或称为发起者,是一个主动的实体,如用户、进程、服务等)对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用。
6.5行为管理
上网行为管理是指帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析